บล็อก
ความเป็นส่วนตัวและความปลอดภัย

PDPA: รู้จักกฎหมายความเป็นส่วนตัวฉบับใหม่ และผลกระทบในวงการอีเวนต์ไทย

เขียนเมื่อ JUN 17, 2022

นับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา ประเทศไทยมีการประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act) ที่หลายคนเรียกติดปากกันว่า PDPA เพื่อปกป้อง “ข้อมูลส่วนบุคคล” ของผู้ใช้งานอินเทอร์เน็ตทุกคนในประเทศไทย (ไม่ว่าจะอยู่ในโลกธุรกิจอีเวนต์เหมือนเราหรือไม่ก็ตาม)

เรื่องนี้อาจไม่จำเป็นต้องดูรายละเอียดเพิ่มเติมมากนักหากธุรกิจของคุณปรับนโยบายความเป็นส่วนตัวให้สอดคล้องกับกฎหมาย GDPR ของสหภาพยุโรปอยู่ก่อนแล้ว แต่หากเป็นธุรกิจที่ดำเนินกิจการในประเทศไทยเป็นหลัก บล็อกนี้จะช่วยคุณได้มาก โดยเฉพาะถ้าคุณอยู่ในแวดวงการจัดงานอีเวนต์เป็นหลัก

ที่ผ่านมามีหลาย ๆ บล็อกเขียนถึงรายละเอียดของ PDPA ไปแล้ว ซึ่งหากให้พูดโดยสรุปสั้น ๆ ก็คือ คุณไม่สามารถที่จะประมวลผลข้อมูลของผู้อื่นโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อนได้ และการ “ยินยอม” ที่ว่านี้ก็มาได้จากหลากหลายรูปแบบ ขึ้นอยู่กับว่างานอีเวนต์ที่คุณกำลังจะจัดอยู่ในรูปแบบไหน เป็นงานออนไซต์ที่ได้พบเจอผู้คน หรืองานออนไลน์ผ่านหน้าจออุปกรณ์ต่างๆ

แล้วจะเพิ่มเพิ่มสิ่งเหล่านี้เข้าไปในงานอีเวนต์ของคุณให้สอดคล้องกับข้อบังคับของ PDPA ได้อย่างไร เราทำลิสต์สั้นๆ มาให้คุณแล้วในบล็อกนี้ครับ

 

PDPA กับงานอีเวนต์ออนไลน์

พาร์ทต่อไปเราจะพูดถึงงานอีเวนต์ออนไลน์ (virtual event) ที่รันบนเว็บไซต์เป็นหลัก ว่าควรเพิ่มอะไรเข้าไปบ้างให้สอดคล้องกับข้อบังคับของ PDPA เพื่อทั้งความปลอดภัยในตัวข้อมูลระหว่างจัดอีเวนต์ รวมถึงการดำเนินการของคุณที่จะราบรื่นไร้ปัญหาตามมาในภายหลังด้วยอีกทาง

 

ทำป๊อปอัพยินยอมให้ใช้คุกกีส์

ที่ผ่านมาคุณอาจจะเคยเห็นป๊อปอัพเว็บไซต์ cookie consent ให้กดยอมรับบนเว็บไซต์ต่างๆ กันมาบ้าง นี่คือหนึ่งในผลที่เกิดขึ้นจากข้อกำหนดของ GDPR จากสหภาพยุโรป ที่บังคับให้ต้องขอความยินยอมจากผู้ใช้งานก่อนนำข้อมูลต่างๆ ของผู้ใช้งานไปใช้ต่อ ไม่ว่าจะนำไปวิเคราะห์ ทำการตลาด หรือเรื่องใดๆ ก็ตาม

ปัจจุบันมีเครื่องมือสร้างป๊อปอัพเหล่านี้ให้เว็บไซต์ของคุณจำนวนไม่น้อย และสร้างได้ทั้ง PDPA และรวมถึง GDPR เช่น EasyPDPA หรือ PDPA.Pro เป็นต้น ถือว่าใช้ง่ายและสะดวก โดยเฉพาะกับผู้ที่ไม่ได้สนใจเรื่องดีไซน์ของตัวป๊อปอัพมากนัก

เคล็ดลับ: อย่าลืมใส่ลิงก์สำหรับคลิกอ่านนโยบายด้านความปลอดภัยบนป๊อปอัพของคุณ แม้ว่าหลายๆ คนจะไม่ค่อยอ่านเนื้อหาเหล่านี้ แต่นั่นไม่ได้หมายความว่าไม่มี และในกรณีที่ผู้ใช้งานมีคำถามเกี่ยวกับเรื่องความปลอดภัย แล้วคุณตอบไม่ได้ ปัญหาจะตามมาในภายหลังแน่นอน

 

เขียนนโยบายด้านความเป็นส่วนตัว

และเพื่ออธิบายว่าระบบงานอีเวนต์ออนไลน์ของคุณเก็บข้อมูลผู้ร่วมงานไปใช้ทำอะไรบ้าง ก็เป็นเรื่องเลี่ยงไม่ได้กับการเขียนนโยบายด้านความปลอดภัยฉบับยาวเหยียดขึ้นมา เรื่องนี้ไม่ได้เป็นแค่การอธิบายวิธีการใช้ข้อมูลจากฝั่งผู้จัดงานอย่างเดียว แต่ร่วมถึงแจ้งให้ผู้ร่วมงานทราบถึงสิทธิ์ในการถอนความยินยอมหรือขอให้ลบข้อมูล (รวมถึงวิธีการดำเนินการเหล่านั้นด้วย)

มีเว็บไซต์ที่สามารถสร้างนโยบายด้านความปลอดภัยฉบับสำเร็จรูปให้เลือกใช้จำนวนไม่น้อย แต่เราแนะนำให้คุณเรียนรู้เกี่ยวกับแพลตฟอร์มงานอีเวนต์ของคุณและเขียนขึ้นเองจากมุมมองภายใน เพราะทุกงานมีจุดขายที่แตกต่างกัน ซึ่งแปลว่าการประมวลผลข้อมูลของแพลตฟอร์มก็ย่อมต่างกันด้วย ไม่มีทางที่นโยบายเทมเพลตจะเข้ากันได้กับทุกงานอีเวนต์แน่ๆ โดยเฉพาะถ้าเป็นเรื่องของความเป็นส่วนตัวและปลอดภัย

อาจจะดูชวนงงเล็กน้อยหากทีมจัดงานมีหลายฝ่าย ยกตัวอย่างเช่น ผู้จัดงานไม่มีระบบของตัวเอง แต่ใช้บริการของ Happenn ในการจัดงาน ในรูปแบบนี้ตัวแพลตฟอร์มจะต้องรองรับทั้งคำขอระหว่างผู้ร่วมงานกับผู้จัด รวมไปถึงระหว่างผู้จัดกับคนทำระบบแพลตฟอร์มด้วย เพราะฉะนั้นแล้วการเขียนนโยบายด้านความปลอดภัยก็จะต้องระบุเงื่อนไขต่างๆ ของแต่ละฝ่ายอย่างชัดเจน

เคล็ดลับ: เขียนให้ชัดเจน กระชับ เข้าใจง่าย และตรงไปตรงมา ไม่จำเป็นต้องมีลูกเล่นใดๆ เพราะเราไม่ได้กำลังเขียนก๊อปปี้สำหรับสื่อโฆษณาครับ

 

สร้างแบบฟอร์มคัดค้านหรือขอให้ลบ

เรื่องนี้ไม่เชิงบังคับ แต่สะดวกกว่าหากทำได้ ที่จริงคุณจะแค่บอกให้ผู้ร่วมงานส่งอีเมลมายังทีมผู้จัดงานเพื่อดำเนินการก็ได้ แต่ถ้ามีคนยื่นคำร้องจำนวนเยอะๆ เข้าถึงหลักร้อยหลักพัน เมื่อนั้นความวุ่นวายมาเยือนทีมแอดมินและกล่องอินบ็อกซ์แน่นอน

การทำแบบฟอร์มอย่างเป็นระเบียบจะช่วยทำให้ทุกอย่างเข้าที่เข้าทางตามความต้องการของคุณได้มากกว่า ถ้าอยากให้เร็ว ก็ใส่แค่ช่องติ๊กถูกให้กดยอมรับพร้อมคำอธิบายสั้นๆ ว่าจะมีข้อมูลใดถูกลบออกจากระบบบ้าง หรือบางครั้งคุณอาจจะใส่ช่องกรอกความคิดเห็นลงไป เพื่อใช้ในการพัฒนาการให้บริการในงานอีเวนต์ครั้งต่อไปก็ได้ ขึ้นอยู่กับโจทย์ของคุณเป็นหลักครับ

 

PDPA กับงานอีเวนต์รูปแบบดั้งเดิม

เลื่อนมาถึงพาร์ทนี้คุณอาจเริ่มสับสนว่างานอีเวนต์ประเภทออฟไลน์เกี่ยวอะไรกับกฎหมายออนไลน์อย่าง PDPA ด้วย คำตอบง่ายมาก ซึ่งก็คือ รูปภาพและวิดีโอของงานอีเวนต์จะต้องถูกนำไปอัพโหลดขึ้นบนโซเชียลและเว็บไซต์ต่างๆ ในภายหลัง นั่นคือจุดที่ความออฟไลน์และออนไลน์มาบรรจบถึงกันในงานประเภท in-person event

เรื่องนี้พูดได้หลายอย่าง แต่เราจะโฟกัสไปที่รูปถ่ายเป็นหลัก โดยจะอ้างอิงจากข้อมูลของ อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล[1] ซึ่งเป็นที่ปรึกษาคณะกรรมการร่างกฎหมายฉบับนี้ ซึ่งการถ่ายภาพในงานอีเวนต์เข้าข่าย “ฐานประโยชน์โดยชอบ” และมีเรื่องที่ต้องคำนึงถึงด้วยกัน 3 เรื่องก่อนตัดสินใจกดชัตเตอร์หรือนำแต่ละภาพมาเผยแพร่ คือการรับรู้ ความเสี่ยง และการป้องกัน

  1. Expectation: บุคคลคนนั้นทราบหรือไม่ว่าผู้จัดงานมีการจ้างช่างภาพมาทำการเก็บภาพบรรยากาศงานด้วย ในบางกรณีการยินยอมให้ถ่ายภาพอาจระบุได้จากท่าทางภาษากายของผู้ที่ปรากฎในภาพ แต่ก็ไม่ใช่ทุกเคสที่จะทำแบบนั้นได้ และเพื่อไม่ให้เกิดปัญหาขึ้นในอนาคต เราก็ควรที่จะขออนุญาตด้วยคำพูดเสียก่อน หรืออาจจะให้เซ็นยินยอมที่บูธลงทะเบียนก่อนเข้างานก็ได้
  2. Risk: รูปที่ถูกนำเสนอออกไปมีความเสี่ยงที่จะก่อให้เกิดความเสียหายต่อบุคคลในภาพหรือไม่ อาจจะอธิบายได้ยาก เราขอยกตัวอย่างเป็นภาพของผู้ร่วมงานในวัยเรียน ที่แต่งชุดนักเรียนซึ่งระบุทั้งชื่อและรหัสประจำตัวอย่างครบถ้วน คนที่มาเห็นภาพอาจนำไปค้นหาและพยายามหาประโยชน์/คุกคามออนไลน์ด้วยข้อมูลเหล่านี้ได้เช่นกัน
  3. Safeguard: มีมาตรการที่จะลดความเสี่ยงที่พูดถึงหรือไม่ เช่นการเบลอหน้า แต่ก็อาจไม่ใช่วิธีการที่ดีที่สุดหากในภาพมีคนเป็นร้อยเป็นพ้น แต่การเลือกที่จะไม่โพสต์ภาพที่มีข้อมูลส่วนตัว หรือเบลอแค่หน้าของผู้เยาว์ก็อาจเป็นวิธีหนึ่งที่ดีในการช่วยปกป้องข้อมูลส่วนตัวของผู้ร่วมงาน รวมถึงสร้างมาตรฐานให้กับการจัดงานของคุณด้วยอีกทาง

เหนือสิ่งอื่นใด ตากล้องควรสามารถที่จะอธิบายได้ว่าภาพดังกล่าวถ่ายขึ้นเพื่ออะไร เรื่องนี้มีรายละเอียดให้คุยกันได้อีกเยอะมาก อย่างน้อยก็เพื่อให้รู้เหตุผลว่าทำไมโมเมนต์ที่เกิดขึ้นตรงนั้นถึงสำคัญมากพอต่อการกดชัตเตอร์

การรับมือกับข้อกำหนดเหล่านี้อาจแตกต่างกันออกไป แต่ก็มีไอเดียหลักๆ ที่เคยเห็นหลายคนนำมาใช้กับงานอีเวนต์บ้างแล้ว เช่น

  1. เซ็นเอกสารยินยอมที่บูธลงทะเบียนก่อนเข้างาน ถ้าไม่ ทีมงานจะพาผู้ร่วมงานคนดังกล่าวไปรับชมงานในอีกห้องที่จัดไว้แทน
  2. กำชับตากล้องของงานให้เอ่ยปากถามก่อนถ่ายรูปผู้คนทุกครั้ง (อาจไม่จำเป็นถ้าเป็นคนกลุ่มใหญ่มากในงานอีเวนต์ใหญ่ ๆ เช่นคอนเสิร์ต เพราะทุกคนรู้อยู่แล้วว่ามีตากล้อง เป็นต้น)
  3. ติดประกาศนโยบายด้านความปลอดภัยทั้งบนเว็บไซต์งานอีเวนต์และที่หน้างาน เพื่อคอยเตือนผู้ร่วมงานว่าเรามีตากล้องคอยถ่ายภาพผู้คนเพื่อเก็บบรรยากาศนะ และเราจะไม่นำภาพเหล่านี้ไปขายบนเว็บไซต์อื่น หรือใช้เพื่อการโฆษณาแน่ๆ

 

สรุป

และอย่างที่เราบอกไปก่อนหน้านี้ด้านบนว่า มันไม่มีคำตอบเดียวสำหรับทุกเรื่อง และนี่ก็เป็นแค่ช่วงเริ่มต้นของกฎหมาย PDPA ด้วย เราอาจจะต้องรอดูอีกพักใหญ่ว่าสถานการณ์จะออกไปในทางไหนจากผู้จัดงานอีเวนต์รอบๆ ตัวเรา

แต่ก็จำเป็นที่จะต้องย้ำทิ้งท้ายก่อนจากกันไปว่า PDPA ไม่ใช่สิ่งที่น่ากลัว มันถูกสร้างขึ้นเพื่อปกป้องทุกคน ไม่ใช่แค่ผู้ร่วมงานอีเวนต์แต่เป็นพวกเราทุกคน ยิ่งคุณเข้าใจมันได้มากเท่าไหร่ คุณก็จะเห็นภาพกว้างของมันมากขึ้นเท่านั้น และคุณก็อาจจะได้โซลูชันสร้างสรรค์ๆ สำหรับนำมาปรับใช้กับงานอีเวนต์ของคุณในอนาคตได้ด้วยเช่นกัน

สำหรับ Happenn เอง ในฐานะผู้สร้างเทคโนโลยีแพลตฟอร์มงานอีเวนต์ เราก็มีการคำนึงถึงเรื่อง PDPA ที่ว่านี้ไว้ตั้งแต่ต้น และตอบรับนโยบายนี้มาตั้งแต่กฎหมาย GDPR ของยุโรปตั้งแต่ช่วงแรกเริ่ม เพราะฉะนั้นเราสามารถการันตีให้ลูกค้าของเราได้เลยว่าหากต้องการจัดงานธุรกิจอีเวนต์ในประเทศไทย ข้อมูลทุกบิตทุกไบต์ที่มอบให้กับเราจะถูกเก็บรักษาอย่างปลอดภัย ใช้เท่าที่จำเป็น และถูกปกป้องเต็มที่ตลอด 24 ชั่วโมง 365 วันตลอดปีอย่างแน่นอน

สำหรับผู้ที่สนใจ สามารถกรอกแบบฟอร์มขอทดลองใช้เดโมซอฟต์แวร์ของเราได้ ฟรี ลองใช้ฟีเจอร์อย่างการไลฟ์สตรีมมิง โพล ถาม-ตอบ หรือแบบสอบถามออนไลน์ดู แล้วจะรู้ว่าเราช่วยให้งานอีเวนต์ของคุณดีขึ้นได้มากแค่ไหน (และไม่ต้องกังวล ปลอดภัยภายใต้มาตรฐาน PDPA แน่นอนครับ)